Erweiterte Azure-Richtlinienverwaltung

In diesem Artikel wird beschrieben, wie Sie die Azure-Richtlinie im großen Maßstab mithilfe von Infrastruktur als Code (IaC) verwalten. Richtliniengesteuerte Governance ist ein Gestaltungsprinzip für Azure-Zielzonen. Es hilft zu gewährleisten, dass die von Ihnen bereitgestellten Anwendungen die Anforderungen der Plattform Ihrer Organisation erfüllen. Es kann erhebliche Anstrengungen unternehmen, Richtlinienobjekte in einer Umgebung zu verwalten und zu testen, um sicherzustellen, dass die Compliance erfüllt ist. Azure-Zugriffstasten für die Zielzone helfen dabei, einen sicheren Basisplan einzurichten, aber Ihre Organisation verfügt möglicherweise über weitere Complianceanforderungen, die Sie erfüllen müssen, indem Sie andere Richtlinien bereitstellen.

Was ist die Unternehmensrichtlinie als Code (EPAC)?

EPAC ist ein Open-Source-Projekt, mit dem Sie IaC integrieren und Azure-Richtlinie verwalten können. EPAC basiert auf einem PowerShell-Modul und wird auf dem PowerShell-Katalog veröffentlicht. Sie können die Features dieses Projekts verwenden, um:

• Zustandsbehaftete Richtlinienbereitstellungen zu erstellen. Die im Code definierten Objekte werden zur Wahrheitsquelle für Richtlinienobjekte, die in Azure bereitgestellt werden.

• Implementieren Sie komplexe Richtlinienverwaltungsszenarien, z. B. multitenant- und souveräne Cloudbereitstellungen.

• Exportieren und integrieren Sie Richtlinien, um vorhandene benutzerdefinierte Richtlinien zu integrieren, die vor der Bereitstellung der Azure-Zielzone entwickelt wurden.

• Erstellen und Verwalten von Richtlinienausnahmen und Richtliniendokumentationen.

• Verwenden Sie Beispielworkflows, um Azure-Richtlinienbereitstellungen mit GitHub-Aktionen oder Azure-Pipelines zu veranschaulichen.

• Exportieren Sie Nichtcompliance-Berichte, und erstellen Sie Wartungsaufgaben.

Gründe für die Verwendung von EPAC

Sie können EPAC verwenden, um Azure-Zielzonenrichtlinien bereitzustellen und zu verwalten. Sie sollten die Implementierung von EPAC in Betracht ziehen, um Richtlinien zu verwalten, wenn:

• Sie über nicht verwaltete Richtlinien in einer vorhandenen Brownfield-Umgebung verfügen, die Sie in einer neuen Azure-Zielzonen-Umgebung bereitstellen möchten. Exportieren Sie die vorhandenen Richtlinien, und verwalten Sie sie zusammen mit den Azure-Zielzonenrichtlinienobjekten mit EPAC.

• Sie verfügen über eine Azure-Bereitstellung, die nicht vollständig an eine Azure-Zielzone ausgerichtet ist, z. B. mehrere Verwaltungsgruppenstrukturen für Tests oder eine nicht zusammenhängende Verwaltungsgruppenstruktur. Die standardmäßige Zuordnungsstruktur, die andere Bereitstellungsmethoden für Azure-Zielzonen bereitstellen, passt möglicherweise nicht zu Ihrer Strategie.

• Sie verfügen über ein Team, das nicht für die Infrastrukturbereitstellung verantwortlich ist, z. B. ein Sicherheitsteam, das Richtlinien bereitstellen und verwalten möchte.

• Sie benötigen Features aus Richtlinien, die in den Bereitstellungen der Azure-Zielzone nicht verfügbar sind, z. B. Richtlinienausnahmen und Dokumentationen.

Erste Schritte

Das EPAC GitHub-Repository enthält detaillierte Schritte zum Verwalten von Azure-Richtlinien. Berücksichtigen Sie die folgenden Faktoren, wenn Sie bestimmen, ob das Projekt für Ihre Umgebung geeignet ist:

• Umgebungstopologie: Es werden mehrere Mandanten und komplizierte Verwaltungsgruppenstrukturen unterstützt. Überlegen Sie, wie Sie Ihre Richtlinie als Codebereitstellungen strukturieren möchten, damit mehrere Teams Richtlinien verwalten und neue Richtlinienbereitstellungen testen können.

• Berechtigungen: Überlegen Sie, wie Sie Berechtigungen für die Bereitstellung verwalten, insbesondere für Rollen und Identitäten. EPAC bietet mehrere Phasen zum Bereitstellen der Richtlinien und Rollenzuweisungen, sodass separate Identitäten verwendet werden können.

• Vorhandene Richtlinienbereitstellungen: In einem Brownfield-Szenario haben Sie möglicherweise bereits bestehende Richtlinien, die während der EPAC-Bereitstellung bestehen bleiben müssen. Sie können die gewünschte Zustandsstrategie verwenden, um sicherzustellen, dass EPAC nur die definierten Richtlinien verwaltet und vorhandene Richtlinien bewahrt.

• Bereitstellungsmethode: EPAC unterstützt Azure DevOps, GitHub Actions und ein PowerShell-Modul zur Bereitstellung von Richtlinien. Sie können die Beispielpipelines im EPAC Starter Kit verwenden und sie an Ihre Umgebung und Anforderungen anpassen.

Folgen Sie der Schnellstartanleitung zum Exportieren von Richtlinienobjekten in Ihrer Umgebung und machen Sie sich mit der Verwaltung von Azure-Richtlinien vertraut.

Übermitteln Sie bei Problemen mit dem Code oder der Dokumentation ein Problem im GitHub-Repository.

Ersetzen vorhandener Richtlinienbereitstellungslösungen

EPAC ersetzt die Richtlinienbereitstellungsfunktionen der Azure-Zugriffstasten für die Zielzone. Wenn Sie diese Zugriffstasten verwenden, sollten Sie sie nicht zum Bereitstellen von Azure-Richtlinien verwenden, da EPAC die Quelle der Wahrheit für die Richtlinie in der Umgebung ist.

Weitere Informationen finden Sie in den folgenden Ressourcen für die Richtlinienverwaltung mit Bicep- und Terraform Azure-Zielzonen-Zugriffstasten:

• Wie implementiert ALZ-Bicep Azure-Richtlinien?
• Archetypdefinitionen

Nächste Schritte

• Azure Unternehmensrichtlinie als Code